Fault Risk Analysis Method of Instrument and Control System in Nuclear Power Plant
-
摘要: 为满足核电站仪控系统故障定位快速准确、风险分析可靠全面的需求,提出了一种基于风险自动分析模型的仪控系统故障风险分析方法。首先,将传统的系统内嵌式自诊断分析、基于故障模式与影响分析(FMEA)、逻辑信号自动化分析技术相融合构建了风险自动分析模型;然后基于风险自动分析模型开发了故障风险自动化分析融合平台;最后通过实例分析验证所提方法的有效性。实践表明该方法可有效提高故障精准定位效率,减少故障风险分析时间,降低人因失误风险。Abstract: In order to meet the requirements of rapid accurate fault location and comprehensive reliable risk analysis of instrument and control system in nuclear power plant, a fault risk analysis method of instrument and control system based on automatic analysis model is proposed. Firstly, the traditional system embedded self-diagnostic analysis, FMEA and automatic analysis of logic signals are integrated to build an automatic risk analysis model. Then, an automatic analysis fusion platform for fault risk is developed based on the automatic risk analysis model. Finally, the effectiveness of the proposed method is verified by example analysis. Practice shows that this method can effectively improve the efficiency of accurate fault location, reduce the fault risk analysis time, and reduce the risk of human error.
-
Key words:
- Fault location /
- Self-diagnostic analysis /
- FMEA /
- Automatic analysis of logic signals
-
0. 引 言
仪控系统作为核电站的中枢神经系统,对核安全及发电经济性、可靠性影响重大。仪控系统存在维护项目数量多、数字化控制系统(DCS)内部逻辑算法复杂、中间计算点多、设备数量庞大等特点,从故障产生到排查定位、故障维护策略、风险分析与措施制定等过程,所需涉及的信号逻辑分析与隔离措施也颇为复杂,若故障定位错误或风险分析不全面,可能导致系统设备误动或机组非计划停机停堆,给机组的安全和经济运行带来严重影响。
仪控系统设备生命周期中,设计阶段以可靠可用可维护安全性(RAMS)分析评估技术为指引[1],形成以潜在故障模式自诊断为主的总体设计方案,在国内自主化安全级仪控系统上进行了设计实现[2]。通过对仪控系统开展模块级和系统级的故障分析,让电站操作员从系统层面清楚故障的影响[3-5];通过建立系统相关性模型,确定故障可更换单元并制定测试维护策略[6]。以上做法主要针对仪控系统的设计要求,但系统自诊断所包含的设备或部件有限,覆盖面和底层支撑信息不足,仅能做定性指向,不含故障设备具体信号风险分析和措施制定,不能满足核电站仪控系统实际运维工作的需要。
针对仪控系统故障风险分析,化工行业作业风险控制通过人工进行工作危害分析并编制风险分析表,经流程审批后导入风险库[7];核电业内通常通过人工图纸分析、系统控制逻辑人工跟踪、技术资料与人工经验等传统分析方法进行分析,存在故障分析效率低、规范化和标准化不足、较大程度依赖个人知识经验等问题。
本文提出了一种基于风险自动分析模型的系统维护与风险分析方法,紧密围绕核电站仪控设备的维护需求,将逻辑信号图纸化分析创新为风险自动分析和措施制定,同时将离线分散的故障诊断与运维所需信息系统化统筹一体化管理。
1. 风险自动分析模型
仪控系统出现故障后,电站操作员通过查看电站自动报警系统和健康信息,确认故障后通知维修人员进行处理。但仪控系统故障定位与消除对维修人员的知识和经验要求高、挑战大,容易出现人因分析失误。
本方法所构建的风险自动分析模型可通过不同层次的报警信息实现故障定位与自动化风险分析。首先根据系统报警信息查看系统自诊断画面,检查机柜内部状态,初步定位故障位置;随后利用故障模式与影响分析(FMEA)数据库,确定故障影响和初步维护策略;最后根据维护策略,逻辑触发信号可自动化分析并输出风险分析与缓解隔离措施报告。具体流程见图1。
1.1 内嵌式自诊断分析
充分利用系统内嵌式自诊断分析是仪控系统故障维护响应的首要环节,用于故障点定位。内嵌式自诊断是DCS系统的关键功能之一,通过内置的软硬件模块和算法对自身软硬件设备状态进行实时监测,并在主控室和就地机柜的系统画面上指示。
操作员在主控室可查看系统级可视化界面的健康报警,仪控维护人员可通过机柜查看低一层次的报警,包括系统的主要通信接口、处理器、硬件自诊断等信息,故障通常以红色或黄色标识。机柜层面具体包括对机柜前后门开关、机柜感温、机柜烟雾、供电故障、柜内供电空气开关等进行监测;子机架层面包含模块状态、序列内校准和序列间比较、上下层接口通讯状态、就地驱动设备的状态反馈等诊断信息。处理器和通讯卡件可显示内部配置,以及显示唯一的故障码。
对系统、机柜、子机架的状态自诊断覆盖率越高,故障报警指示定位就越清晰。该环节诊断清晰且直接,但主要是针对内嵌的诊断和监测,覆盖面有限,且需要深入的专业分析能力,对人员挑战相对较大。
1.2 FMEA
FMEA数据库是故障风险分析的技术前提,有助于高效确定维护策略,可以从宏观层面减少因故障维护作业而引入的非预期风险。在传统模式的基础上,本方法对核电仪控系统FMEA开展优化研究,按照单一故障原则对仪控系统主要关键部件和卡件的故障模式、故障及其级联故障对系统的特征影响、功能影响、故障检测方法、故障严重级别进行分析。同时,本方法将系统知识统筹一体化,增加关键字段匹配应急预案、历史维护记录,形成仪控专项化FMEA数据库。具体方法如下:
(1)建立特征参数:${i_1},{i_2}\cdots ,{i_m}$,$m$为系统所有故障特征的总数。
(2)形成特征量:根据预先确定的各特征参数确定正常状态,给出定性描述或定量阈值。
$$ {{\boldsymbol{K}}}_{i}=\left\{\begin{array}{c}0,\;\;\;{y}_{i}\in {y}_{i{\rm{D}}}\\ 1,\;\;\;{y}_{i}\notin {y}_{i{\rm{D}}}\\ 正常定性描述\end{array}\right. $$ 式中,${y_i}$为特征参数;${y_{i{\rm{D}}}}$为特征参数取值范围;Ki为特征向量。由此组成特征向量:
$$ {\boldsymbol{K}} = \left[ {{{\boldsymbol{K}}_1},{{\boldsymbol{K}}_2},\cdots ,{{\boldsymbol{K}}_m}} \right] $$ (3)FMEA故障影响分级计算公式如下:
风险优先数(RPN)=后果严重性(S)×发生频率(O)×可测难度(D)
其中,后果严重性分为4类;发生频率根据设计可靠性文件确定,分为5类;可测难度分为4类,如表1所示。风险优先数值越高,表示故障对系统的危害程度越高,风险分析与作业准备需要按更严格要求执行。
表 1 故障影响分级相关参数说明Table 1. Explanation of Relevant Parameters for Fault Impact Classification等级 后果严重性 可测难度 发生频率 I 直接导致安全功能误动或拒动 电站设备驱动后反馈自动显示(阀门驱动、断路器跳闸等) 发生可能性高,大于10−1 II 安全功能降级(精度、响应时间等) 产生报警,通过系统诊断特征可测 可能发生,10−1~10−2 III 安全功能冗余丧失 通过定期试验暴露 偶尔发生,10−2~10−3 IV 需维护修复否则影响系统功能 超出正常监督测试范围之外的缺陷,除非叠加故障发现或刻意排查 可能性低,10−3~10−6 V 基本不可能发生,小于10−6 (4)查阅FMEA数据库:把实际特征向量或观察到的特征现象与数据库中的向量进行比较,如果匹配,则诊断为该类故障;若未找到匹配项,则为新增故障或多重故障级联,对FMEA数据库进行升级迭代。
1.3 逻辑镜像仿真
仪控逻辑信号分析是现场作业准备的前提和最关键环节。因逻辑图原本大多是静态固化图纸,不支持电子化自动分析,故首先需实现逻辑软件化。本方法通过对仪控逻辑镜像二次组态仿真,提供了风险自动分析的技术基础。流程如下:
(1)使用PyCharm及Visual Studio搭建MySQL数据库。
(2)控制保护逻辑图镜像组态仿真:基于仪控系统逻辑控制图,确定信号点名、逻辑触发整定值、联锁保护、表决逻辑、信号路径、中间过程点、内部算法等关键信息,采用标准化的逻辑符号和规则,在不同逻辑图中进行标注关联。
(3)定义系统模型,确定系统的输入、输出、控制逻辑和功能要求,按照详细设计规范和逻辑控制图搭建内部逻辑算法。
(4)将系统模型转化为可执行代码,通过运行仿真逻辑进行分析、修改和验证,确定各逻辑和算法的响应与性能,确认与实际工艺逻辑100%匹配。
2. 自动化分析融合平台
内嵌式自诊断覆盖类型与范围层次有限,FMEA诊断分析是相对传统离线图纸的人工文件化分析方式,逻辑信号自动化分析是仪控逻辑镜像仿真系统。但若此3种方式分散化使用,依然不能满足核电现场运维准确高效的需要。本方法将分析技术相融合,开发故障风险自动化分析融合平台,流程见图2。
2.1 通用系统知识库
通用系统知识库主要包括典型故障的作业风险通用数据库和仪表特性化风险数据库。
(1)以设备安装位置为关键字段,形成作业风险通用数据库,包括工业、辐射、环境、实物保护、化学与环境等通用因素,并制定对应缓解措施。
(2)根据仪表保护逻辑,研究形成仪表特性化风险分析库,包括逻辑退化风险、对其余接口仪控系统的影响等。
(3)根据具体仪控设备编码,研究梳理形成就地仪表隔离数据库、仪控系统接口隔离数据库、特殊逻辑数据库、技术规范(TS)监督数据库、核安全运行限制工况(LCO)限制风险库、允许信号导致LCO数据库、经验反馈数据库、应急方案数据库、状态报告历史维护记录等。
2.2 逻辑信号自动化分析
逻辑图自动化分析是平台的技术核心,主要包括受影响设备、信号路径、报警连锁触发信号等关键分析子模块。使用JavaScript和Html进行编程完成动态逻辑分析,逻辑信号自动化分析流程见图3。
2.2.1 信号检索
以电站工艺系统就地仪表的数据点为起始点,选择或输入数据点后将数据点名传递到服务器,服务器通过这一点名检索信号图纸中相应的数据链接相关图纸及对应的符号。
2.2.2 逻辑信号分析定义
逻辑图的信号算法参数由输入、过程、输出3部分组成。
命名规则定义:按照组态逻辑符号与命名规范,结合现场实际工作建立逻辑触发与信号显示规则。如驱动信号名需包括但不限于以下后缀:BT Bistable Trip、PT Partial Trip、AC Actuated、RT Reactor Trip。
分析范围定义:确定分析锁定的目标信号范围。以安全仪控系统为例,对于任意输入信号,通过逻辑算法后,信号路径中形成以-BT、-PT、-AC、-RT为后缀的点名均纳入路径信号最大化清单;对于带复位-置位(RS)触发器、算法块、与门的联锁逻辑,往上追溯一级将信号纳入跟踪清单。
2.2.3 逻辑触发与追踪
逻辑算法的功能一致性和符合性已通过仿真组态验证,可动态获得逻辑符号的输入参数以及内部参数值,并将参数传递至具体算法进行计算,超过整定值即产生触发状态改变。逻辑追踪是对触发信号路径的关联点管理,对于信号路径上的不同触发状态使用不同颜色标注进行跟踪。
2.2.4 信号自动分析
根据信号状态,对路径上最大化关联信号清单的信号点名再层次化分为局部触发、单通道触发、报警、联锁驱动。将信号按照类型和与分析要素,形成自动风险分析清单。
2.3 信息链接
为便于仪控系统主要设备维护技术信息统筹一体化,按照故障诊断与风险分析的必要字段将主要机柜内部部件与就地仪表进行信息链接。通过数据配置模块将硬件配置与机柜图形组态互相链接,实现底层系统知识库互相调用。链接信息除了自动分析通用数据库和专用数据库,还包括FMEA及经验反馈、故障历史、配置信息等内容。
2.4 自动生成风险分析报告
硬件组态与仪控逻辑图、配置、维护技术策略链接匹配后,从不同途径均可一键化获取仪控系统故障维护策略与风险自动化分析报告。
3. 应用实例
以国内某三代核电厂安全仪控系统为例。安全仪控系统出现故障报警,工程师先查看系统自诊断信息,如表2所示。
表 2 内嵌式自诊断信息Table 2. Embedded Self-diagnostic Information机柜 设备 故障代码 故障特征 故障类型 故障信息重要性 纠正行动 逻辑柜 处理器模件 0E 中止 内部故障 表决信息有误 更换处理器卡件 逻辑柜 处理器模件 01 暂停 未知故障 未知故障 重启处理器;重新装载应用程序;更换模件 逻辑柜 处理器模件 0D 中止 内部故障 计时器故障 更换处理器卡件 采集柜 模拟量输入卡 NA 通道红灯 采集信号漂移 处理功能故障 通道回路检查 采集柜 模拟量输入卡 NA 通道红灯 超量程 通道异常 动态自检 完成就地检查与测量后,通过自动化分析融合平台查看FMEA数据库(表3),确认模拟量卡件的维护方案。随后在机柜内部硬件图形化界面中找到对应位置卡件,并获取卡件的FMEA数据库,明确各通道的信号配置。再用仪表信号点名作为分析起点,一键自动生成故障风险分析报告。
表 3 FMEA数据库示例Table 3. FMEA Database Example设备 故障
模式故障
分级故障及级
联故障特
征与影响功能影响 探测方法 配置信息 应急预
案/规程历史维
护记录经验
反馈安装通
道名仪表点名 模拟量输入卡件 单通道故障 1-3-6 通道显示为量程值;质量点坏点 影响双稳态功能触发;质量为坏点;安全功能不丧失但表决逻辑退化 产生局部触发报警;传感器故障报警;序列间比较偏差报警 CH2 PCS-JE-PT040 AI688模件更换规程 工单号:100378 某核电机组仪控卡件维护隔离
失效CH3 SFS-JE-PT019A CH4 SGS-JE-PT035 以SGS-JE-PT035的就地仪表通道故障为例,自动生成故障风险分析报告主要部分见下文。
3.1 核安全监督风险
就地仪表功能丧失,会意外进入机组LCO风险,隔离工作可能会导致相应的仪表退出运行,需要运行工程师建立LCO清单,共包括19条。如第1条:整定值FC101B-1,一回路热管段1流量低-2,进入TS3.3.1功能10;第19条:PC035-1-S2,蒸汽发生器2蒸汽管线压力低-2,进入TS3.3.2功能1.d、4.c(1)、29.b。
3.2 逻辑触发风险
存在反应堆停堆(RT)和专设安全设施(ESF)符合逻辑触发风险、报警风险。执行本作业期间四取二表决逻辑将变为三取二,三取二表决逻辑将变为二取一,二取一表决逻辑会真实触发。
(1)触发整定值,本作业总计17条。如第1条信号名PC035-1,整定值3.86313,回差0.089632,所在图纸编号J3-329;第2条信号名LC014-1,整定值35,回差1,所在图纸编号J3-331。
(2)报警与联锁信号最大化清单,本作业总计117条。包括信号点名、信号描述、所在图纸编号。
(3)直接驱动设备的最大化清单,本作业整个信号路径无相关驱动设备则自动显示无;若有则包括驱动设备点名、设备描述、所在图纸编号。
(4)对发电能力接口系统的影响与措施,本作业包括18条。如第1条:系统内发出信号点名 MTCA,接口系统接收信号点名CMTD-AC,影响设备为CVS-MP-01A/B,联锁逻辑为三取二产生CVS-MP-01A/B紧急停信号,信号风险措施为将三取二算法下游点退出扫描。
3.3 其他风险
(1)环境与化学安全风险
如果引压管线螺纹需要使用密封脂或润滑脂,则有向一回路引入化学成分的风险。
(2)特别提醒
本仪表属于某厂家的仪表,若需要进行仪表断电操作,需高度注意可能对本终端单元(TU)或模件上其余某厂家的仪表造成信号干扰。
3.4 缓解措施
针对自动分析的每项风险点自动制定电站实践批准的缓解措施。包括核安全监督的LCO风险措施、逻辑风险措施自动生成详细隔离措施表。本作业需隔离18条,如第1条信号点名为P10,所在图纸编号为J3-314,类型为允许信号,隔离的整定值名为NCPRPPB-2。
以上是自动化分析融合平台自动生成的故障风险分析报告的主体部分内容示例。在实际操作中,按照电站的工作风险管控要求制定了标准化模板,实现了分析内容100%匹配。
3.5 效果对比
自动化分析融合平台覆盖了安全仪控系统的就地仪表和机柜内部的主要设备,经过迭代验证后准确率达100%,分析时间较人工缩短了70%,有效提高了故障消除和风险分析的效率和准确性,显著降低了人因失误风险。
4. 结 论
本文通过对不同应用场景下核电站仪控系统故障风险自动化分析方法的融合开发和现场应用进行研究介绍,验证了该方法的优越性。
(1)核电站仪控系统故障风险自动化分析方法实现了仪控系统作业风险分析由人工经验化转变为自动规范化、逻辑信号路径追踪由图纸平面化转变为软件电子化、系统信息零散化转变为统筹一体化的创新型维护分析模式。
(2)以某核电厂安全仪控系统典型卡件为例,通过该创新方式完成故障响应定位、风险分析与缓解措施。自动化分析融合平台高度匹配满足电站实际应用需求,该方法对核电站仪控领域的运维工作具有良好的指导与示范意义。
-
表 1 故障影响分级相关参数说明
Table 1. Explanation of Relevant Parameters for Fault Impact Classification
等级 后果严重性 可测难度 发生频率 I 直接导致安全功能误动或拒动 电站设备驱动后反馈自动显示(阀门驱动、断路器跳闸等) 发生可能性高,大于10−1 II 安全功能降级(精度、响应时间等) 产生报警,通过系统诊断特征可测 可能发生,10−1~10−2 III 安全功能冗余丧失 通过定期试验暴露 偶尔发生,10−2~10−3 IV 需维护修复否则影响系统功能 超出正常监督测试范围之外的缺陷,除非叠加故障发现或刻意排查 可能性低,10−3~10−6 V 基本不可能发生,小于10−6 表 2 内嵌式自诊断信息
Table 2. Embedded Self-diagnostic Information
机柜 设备 故障代码 故障特征 故障类型 故障信息重要性 纠正行动 逻辑柜 处理器模件 0E 中止 内部故障 表决信息有误 更换处理器卡件 逻辑柜 处理器模件 01 暂停 未知故障 未知故障 重启处理器;重新装载应用程序;更换模件 逻辑柜 处理器模件 0D 中止 内部故障 计时器故障 更换处理器卡件 采集柜 模拟量输入卡 NA 通道红灯 采集信号漂移 处理功能故障 通道回路检查 采集柜 模拟量输入卡 NA 通道红灯 超量程 通道异常 动态自检 表 3 FMEA数据库示例
Table 3. FMEA Database Example
设备 故障
模式故障
分级故障及级
联故障特
征与影响功能影响 探测方法 配置信息 应急预
案/规程历史维
护记录经验
反馈安装通
道名仪表点名 模拟量输入卡件 单通道故障 1-3-6 通道显示为量程值;质量点坏点 影响双稳态功能触发;质量为坏点;安全功能不丧失但表决逻辑退化 产生局部触发报警;传感器故障报警;序列间比较偏差报警 CH2 PCS-JE-PT040 AI688模件更换规程 工单号:100378 某核电机组仪控卡件维护隔离
失效CH3 SFS-JE-PT019A CH4 SGS-JE-PT035 -
[1] IEEE. IEEE guide for general principles of reliability analysis of nuclear power generating station safety systems: ANSI/IEEE 352-1987[S]. New York: IEEE, 1987: 1-118. [2] 江国进,李富,莫昌瑜,等. 核安全级数字化仪控系统自诊断功能研究与设计[J]. 核科学与工程,2019, 39(1): 146-154. [3] 李雨桐,喻潇白,刘官荣,等. 基于FMEA分析的核电厂安全级DCS系统仪控故障报警的分类及分级[J]. 仪器仪表用户,2018, 25(11): 30-35. doi: 10.3969/j.issn.1671-1041.2018.11.009 [4] 王燕,沈超,范建超. 核电站非安全级DCS仪控故障报警设计[J]. 自动化仪表,2021, 42(10): 39-42. doi: 10.16086/j.cnki.issn1000-0380.2020120039 [5] 胡清仁,李俊,彭浩,等. 核电厂安全级DCS系统的故障诊断和报警设计研究[J]. 仪器仪表用户,2021, 28(10): 48-51. [6] 石君友,田仲. 故障诊断策略的优化方法[J]. 航空学报,2003, 24(3): 212-215. doi: 10.3321/j.issn:1000-6893.2003.03.005 [7] 刘冲,范伟,姜春丰,等. 基于风险控制的作业许可管理系统开发与应用[J]. 云南化工,2018, 45(2): 226-229. -